Visualizzazione post con etichetta documento programmatico sicurezza. Mostra tutti i post
Visualizzazione post con etichetta documento programmatico sicurezza. Mostra tutti i post

sabato 26 marzo 2011

DPS: Documento programmatico sulla sicurezza - 31 marzo 2011

Scade il 31 marzo il termine annuale per la redazione e l’aggiornamento del documento programmatico sulla sicurezza (DPS).

L’obbligo di redazione del DPS ricorre in caso di trattamento di dati personali, “sensibili” o giudiziari, con strumenti elettronici (ad esempio, mediante computer).

Dati sensibili: dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.


Si elencano brevemente alcuni dei principali adempimenti previsti dalla normativa sulla privacy. Non adeguarsi alla normativa sulla privacy significa rischiare pesanti sanzioni.

Notificazione al Garante (se dovuta): Prima di iniziare il trattamento e valutare le relative autorizzazioni (D. Lgs. n. 196/03 art. 37).

DPS (Documento Programmatico sulla Sicurezza): all’interno del DPS deve essere previsto un “Piano di formazione per gli incaricati” che dovrà essere rivisto annualmente.


Adempimenti a cadenza almeno annuale:
  • aggiornare l’individuazione dell’ambito di trattamento consentito ai singoli incaricati, ove variato, anche parzialmente;
  • verificare la sussistenza delle condizioni per la conservazione delle autorizzazioni per l’acceso ai dati particolari per gli incaricati; 
  • fornire istruzioni organizzative e tecniche affinché il salvataggio dei dati sia effettuato settimanalmente;
  • programmare interventi di formazione per gli incaricati del trattamento;
  • provvedere all’aggiornamento delle patch dei programmi per computer, nel caso di trattamento dei dati comuni (regola 17, Allegato B del D. Lgs n. 196/03).
Adempimenti a cadenza periodica:
  • Aggiornare i software antivirus, per tutti i tipi di dati (regola 16, Allegato B del D. Lgs n. 196/03);
  • Aggiornamento dei software, nel caso di trattamento di dati sensibili (regola 17, Allegato B del D. Lgs n. 196/03)
  • Salvataggio dei dati (regola 18, Allegato B del D. Lgs n. 196/03)
  • Aggiornare le password assegnate agli incaricati (regola 5, Allegato B del D. Lgs n. 196/03)
Il contenuto del DPS - documento programmatico sulla sicurezza:
  • elenco dei trattamenti di dati personali;
  • distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati;
  • analisi dei rischi che incombono sui dati;
  • misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché alla protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
  • descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
  • previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare; la formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
  • descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al Codice della privacy, all’esterno della struttura del titolare;
  • per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, all’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato.
Semplificazione
Per i soggetti che trattano con strumenti elettronici soltanto dati personali “non sensibili” e come unici dati “sensibili” quelli costituiti dallo stato di salute o di malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale, l’obbligo di redigere e aggiornare il DPS è sostituito da un’autocertificazione in cui si attesta di trattare solo tali dati in osservanza delle altre misure di sicurezza prescritte.
Modalità semplificate sono previste anche per i soggetti pubblici e privati che trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese (Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008).

Link: Per restare aggiornato iscriviti alla nostra Newsletter!
Pubblicato da alle Nessun commento:
Etichette: , , , , ,

sabato 9 maggio 2009

Privacy e libro-soci

Gli azionisti di una società per azioni hanno diritto di conoscere l'indirizzo e i dati degli altri soci, al fine di contattarli e di poter tutelare i propri legittimi interessi. La legge sulla privacy non limita la conoscibilità da parte degli azionisti dei dati personali contenuti nel libro soci e non si pone in contrasto con la trasparenza dell'attività societaria.

Link: Per restare aggiornato iscriviti alla nostra Newsletter!
Pubblicato da alle Nessun commento:
Etichette: , , , ,

lunedì 4 maggio 2009

Privacy: DPS e Amministratori di sistema

Gli "amministratori di sistema" sono figure essenziali per la sicurezza delle banche dati e la corretta gestione delle reti telematiche. Sono esperti chiamati a svolgere delicate funzioni che comportano la concreta capacità di accedere a tutti i dati che transitano sulle reti aziendali ed istituzionali. Ad essi viene affidato spesso anche il compito di vigilare sul corretto utilizzo dei sistemi informatici di un'azienda o di una pubblica amministrazione.

Per questo il Garante ha prescritto l'adozione di specifiche misure tecniche ed organizzative che agevolino la verifica sulla sua attività da parte di chi ha la titolarità delle banche dati e dei sistemi informatici.

Registrazione degli accessi
Adozione di sistemi di controllo che consentano la registrazione degli accessi effettuate dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici.
Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

Verifica della attività
Verifica almeno annuale da parte dei titolari del trattamento sulla rispondenza dell'operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla legge per i trattamenti di dati personali.

Elenco degli amministratori di sistema e loro caratteristiche
Ciascuna azienda o soggetto pubblico dovrà inserire nel documento programmatico della sicurezza o in un documento interno (disponibile in caso di accertamenti da parte del Garante) gli estremi identificativi degli amministratori di sistema e l'elenco delle funzioni loro attribuite.

Dovranno infine essere valutate con attenzione esperienza, capacità, e affidabilità della persona chiamata a ricoprire il ruolo di amministratore di sistema, che deve essere in grado di garantire il pieno rispetto della normativa in materia di protezione dei dati personali, compreso il profilo della sicurezza.

Link: Per restare aggiornato iscriviti alla nostra Newsletter!
Pubblicato da alle Nessun commento:
Etichette: , , , , ,

mercoledì 25 marzo 2009

Guida gratuita DPS Documento programmatico sulla sicurezza: 31 marzo

Il 31 marzo 2008 scade l’obbligo di redazione del documento programmatico sulla sicurezza (Codice in materia di protezione dei dati personali art. 34 e Allegato B, regola 19, del d.lg. 30 giugno 2003, n. 196)

Scarica la guida operativa dal sito del garante: Guida gratuita DPS privacy

Ricordiamo inoltre le semplificazioni per le PMI recentemente introdotte dal garante:
Privacy: guida alla privacy e DPS per le PMI

I consulenti-privacy per predisporre correttamente la bozza del documento DPS Privacy, hanno bisogno di una concreta e tangibile collaborazione dell'Azienda interessata, per rappresentare le informazioni relative all’organizzazione della Società, nonché delle possibili problematiche di sicurezza da gestire e delle misure di sicurezza del trattamento già applicate o da applicare.


Link: Per restare aggiornato iscriviti alla nostra Newsletter!
Pubblicato da alle Nessun commento:
Etichette: , , ,

mercoledì 13 febbraio 2008

Privacy: modalità del trattamento dei dati

Secondo la vigente normativa sulla Privacy, I dati personali oggetto di trattamento devono essere:

  1. trattati in modo lecito e secondo correttezza;
  2. raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
  3. esatti e, se necessario, aggiornati;
  4. pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
  5. conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

Link: Per restare aggiornato scriviti alla nostra Newsletter!

Pubblicato da alle Nessun commento:
Etichette: , , , , , , , ,

martedì 5 febbraio 2008

DPS Privacy - Consulenti Privacy Milano

Pubblicato da alle Nessun commento:
Etichette: , , , , , ,
Iscriviti a: Post (Atom)